标签: 间谍

美众议院同意涉外情报监控法修正案,或将增强 NSA 间谍能力

据外媒报道,美国众议院 11 日以 256 票对 164 票的结果同意《涉外情报监控法修正案》(FISA Amendments Act)第 702 条 的更新授权,延长其有效期至 2024 年。不过该修正案还需美国参议院进行表决,但若表决通过将会意味着美国国家安全局(NSA)能够继续在没有搜查令的情况下监听美国境外的外籍人士,并且收集与外国人员通信的美国公民的相关情报。目前该修正案因缺乏对被监控人群的隐私保护而受到美国某些团体的反对。 自 2001 年 “ 9·11 ” 恐怖袭击事件发生之后,美国政府就开始在收集情报信息方面加大力度。据悉,NSA 存储于数据库的情报是在 AT&T、谷歌、Facebook 以及雅虎等互联网公司的帮助下编制的,而这些公司在未经授权的情况下就将信息交给了美国官员。 然而外国情报监控法的第 702 条将在 1 月 19 日到期,若在该日期前法案仍未获得美国政府通过,那么该条例将不能再保证 NSA 的监听计划。 虽然目前该修正案还需获得参议院的表决,但有政治分析人士猜测该修正案应该会被通过。最重要的一点是,美国总统唐纳德·特朗普(Tonald Trump)今天在 Twitter 上表示支持该修正案。 但也有不少美国隐私团体和公众反对该修正案,他们认为其增强了 NSA 的间谍权力,以至于隐私受到侵犯。 消息来源: Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄间谍组织 Turla 利用捆绑后门的 Flash 安装程序针对东欧各国使馆展开攻击活动

ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”,旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说,Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起,试图欺骗目标用户安装恶意软件,以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现,该组织并未局限于以往的攻击工具 ,而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起,而且进一步融合更多可行方式,以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来,攻击者基本上能够利用 Adobe 诱使用户下载恶意软件,并且使用户相信其下载的软件是来自 Adobe 官方网站(adobe.com)的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征,其中包括该组织创建的后门程序 “ 蚊子”(Mosquito),以及之前与该组织关联使用的IP地址。 除了上述相关特征之外,新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设(如下图所示),是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为:① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁,其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证,ESET 研究人员考虑的可能的攻击媒介是: — 受害者组织网络内的一台机器可能被劫持,以便它可以作为本地中间人(MitM)攻击的跳板,这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关,使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商( ISP )的层面上 。 — 攻击者可能使用边界网关协议(BGP)劫持来将流量重新路由到 Turla 控制的服务器,虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序,前面所使用的几个后门则可能被丢弃,如后门 Mosquito ,它是一个 Win32 恶意软件,通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信,或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后,这个阶段将被设定为任务的主要目标——过滤敏感数据,包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分,伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中,要么从 Google Drive 网址下载。为了在系统上建立持久性,恶意安装程序还会篡改操作系统的注册表,创建一个允许远程访问的管理帐户。 目前,ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本,不过其代码分析更加困难。 相关阅读: <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

前 NSA 黑客揭露如何将卡巴斯基杀软变成间谍工具

根据卡巴斯基的案例表明,安全软件可以被情报机构利用来作为一种强大的间谍工具。Digita Security 首席研究官  Patrick Wardle 和前 NSA 黑客通过颠覆卡巴斯基实验室杀毒软件并将其变成强大的机密文档搜索工具来证实了这一点。 Patrick Wardle 在接受纽约时报采访时说: “ 杀毒产品是对抗恶意代码的首选。“  然而,具有讽刺意味的是,这些产品与先进的网络间谍工具有许多共同之处。“从技术角度来看,如果一个反病毒制造商出于某种原因,比如被强迫、被黑客攻击等,是否可以创建一个标记机密文件的签名? 去年12月,美国总统特朗普 签署了一项法案,禁止在联邦机构使用卡巴斯基实验室产品和服务。根据 Edward J. Snowden 泄漏的一份绝密报告草案显示,NSA 至少自 2008 年就瞄准了杀毒软件(即 Checkpoint 和 Avast )以便于收集存储在目标机器上的敏感信息。 Wardle 对卡巴斯基实验室杀毒软件进行了逆向工程,以探究是否有可能将其用于情报目的。其目标是希望能够编写一个能够检测机密文件的签名。Wardle 发现代码非常复杂,与传统的防病毒软件不同的是,卡巴斯基的恶意软件签名很容易更新。研究人员认为这个功能可以调整自动扫描受害者的机器和窃取机密文件。 “ 现代反病毒产品是非常复杂的软件,卡巴斯基可能是最复杂的一个。因此,仅仅获得对其签名和扫描逻辑的合理理解是一项具有挑战性的任务。”卡巴斯基的反病毒引擎会定期检查并自动安装任何新的签名。当新的签名可用时,该签名将被卡巴斯基更新服务器的kav守护进程下载。 杀毒软件扫描可能被用于网络间谍活动 Wardle 称官员们通常会将最高机密文件与 “ TS / SCI ” ( “ 最高机密 / 敏感区域信息 ” )进行分类,Wardle  向卡巴斯基的杀毒程序添加了一条规则,用来标记任何包含 “ TS / SCI ” 的文档。为了测试新规则,研究人员在他的电脑上编辑了一个文件,其中包含小熊维尼儿童读物系列的文本,并添加了 “ TS / SC ” 标记。一旦文档被保存到他的机器上,卡巴斯基的防病毒软件就会标记并隔离该文档。 Wardle 测试的后续阶段是发现如何管理被标记的文档,但是反病毒软件将数据发送回公司通过进一步分析发现是正常的。 而卡巴斯基在一份声明中称 Wardle 的研究并不正确,因为卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的签名或更新,所有签名总是公开给所有用户使用而且更新是经过数字签名的,不可能进一步伪造。 但无论如何,Wardle 的研究表明,黑客厂商的平台可以使用杀毒软件作为搜索工具。 专家总结说 :“然而,任何反病毒公司内部的恶意或有意识的内部人士,如果能够策略性地部署这样的签名,那么在一个可能的情况下任何被强迫或愿意与如政府之类强大机构合作的反病毒公司都同样能够悄悄地利用他们的产品来检测和利用任何感兴趣的文件。” 。 详细报告内容见<All Your Docs Are Belong To Us> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。